ARP误报警报的发生情况如何？

适用场景

• ONTAP 9 10.1及更高版本
• 反勒索软件保护(ARP)

问题解答

• ONTAP中ARP检测到的误报率可能因多种因素而异。了解这些因素有助于管理和减少误报的发生。
• 影响误报 ARP警报的因素：
  • 文件扩展名：
    ARP依靠检测异常文件扩展名来识别潜在的勒索软件攻击。如果卷包含以前从未见过的唯一或新文件扩展名、ARP可能会将这些扩展名标记为可疑、从而导致误报。 
    这种情况在采用自动化流程生成唯一文件扩展名的环境中尤为常见。
  • 不合适的工作负载：
    高频文件操作(例如在短时间内创建、删除或重命名大量文件)可能会触发ARP警报。这是因为ARP会将文件操作中的这些激增视为潜在的勒索软件活动。 
    如果工作负载本身涉及大量文件I/O操作(例如VMware备份)、则可能会频繁出现误报。
  • Learning Mode Duration"(学习模式持续时间)：
    ARP最初在"Learning Mode"(学习模式)下运行，以了解卷的正常行为。如果学习期不足、ARP可能无法准确区分正常活动和可疑活动、从而导致误报。建议的学习期为7至30天。
  • 检测参数：
    ARP检测参数的配置会显著影响误报的频率。 
    可以调整参数、例如"仅基于文件扩展之前从未见过的检测"、新文件扩展名阈值、高熵数据速率和文件操作激增、以便更好地适应特定工作负载并减少误报。
  • 检测攻击时的用户操作：
    一旦将攻击标记为误报，ARP将不再将该攻击的未来发生标记 为可疑。这有助于减少重复的误报检测。
  • 电涌检测：
    ARP使用电涌检测来识别文件操作中的异常峰值。浪涌检测的基线是根据历史工作负载信息计算的。调整浪涌检测参数有助于最大限度地减少正常工作负载变化触发的误报。

追加信息

有关详细信息、请参见了解ONTAP中的自动防软件保护。